本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 故障診斷 AWS Client VPN：嘗試連線至 Client VPN 時，用戶端軟體會傳回 TLS 錯誤
<a name="client-cannot-connect"></a>

**問題**  
我的用戶端以前可以成功連線到 Client VPN，但現在 OpenVPN 型用戶端在嘗試連線時會傳回以下錯誤之一：

```
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 
TLS Error: TLS handshake failed
```

```
Connection failed because of a TLS handshake error. Contact your IT administrator.
```

**可能的原因 1：**  
如果您使用交互身分驗證並匯入用戶端憑證撤銷清單，則用戶端憑證撤銷清單可能已過期。在身分驗證階段期間，Client VPN 端點會根據您匯入的用戶端憑證撤銷清單來檢查用戶端憑證。如果用戶端憑證撤銷清單已過期，您就無法連線到 Client VPN 端點。

**解決方案 1：**  
使用 OpenSSL 工具檢查用戶端憑證撤銷清單的到期日。

```
$ openssl crl -in {{path_to_crl_pem_file}} -noout -nextupdate
```

輸出會顯示到期日期和時間。如果用戶端憑證撤銷清單已過期，您必須建立新的清單並將其匯入 Client VPN 端點。如需詳細資訊，請參閱[AWS Client VPN 用戶端憑證撤銷清單](cvpn-working-certificates.md)。

**可能的原因 2：**  
用於 Client VPN 端點的伺服器憑證已過期。

**解決方案 2：**  
在 AWS Certificate Manager 主控台或使用 CLI AWS 檢查伺服器憑證的狀態。如果伺服器憑證已過期，建立新憑證並上傳至 ACM。有關使用 [OpenVPN easy-rsa 實用程序](https://github.com/OpenVPN/easy-rsa)產生伺服器和用户端憑證及金鑰，然後將它們匯入 ACM 中的詳細步驟，請參閱[中的相互身分驗證 AWS Client VPN](mutual.md)。

或者，可能是用戶端用來連線到 Client VPN 的 OpenVPN 型軟體有問題。如需對 OpenVPN 型軟體進行故障診斷的更多資訊，請參閱*《AWS Client VPN Client VPN 使用者指南》*中的[對您的 Client VPN 連接進行故障診斷](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/troubleshooting.html)。